Klawiatura „Ai.type” zbierała więcej danych niż potrzeba: baza danych 31mln użytkowników wyciekła do sieci

6 grudnia, 2017

577 gigabajtów! informacji o użytkownikach wirtualnej klawiatury „Ai.type”, która została pobrana prawie 40 milionów razy, było dostępnych dla każdego w Internecie. Początkowo przedsiębiorstwo startup’owe, a teraz zwykła firma odpowiedzialna za rozwój klawiatury dla Androida i iOS-a, źle skonfigurowała zabezpieczenia bazy danych MongoDB, która (niestety) była dostępna online. W efekcie każda osoba, która miała dostęp do Internetu mogła pobrać, a nawet usunąć całą bazę. O incydencie informuje Kromtech Security Center.

Zbyt dużo uprawnień

Z mobilnymi aplikacjami jest tak, że często wymagają więcej uprawnień niż rzeczywiście są im potrzebne do działania. Kiedy badacze zainstalowali Ai.type, dowiedzieli się, że muszą zezwolić klawiaturze na dostęp do „wszystkich” informacji przechowywanych na iPhonie.

tmp 2d7d399b7b191d972bc87c45d16e9aab
Klawiatura żąda „pełnego” dostępu do telefonu.

Wyciek bazy danych ujawnił, jak wiele danych od 2010 roku zbierała firma o swoich 31 293 959 klientach. Według statystyk aplikacja Ai.type została pobrana w różnych językach około 40 milionów razy z Google Play. Wśród ujawnionych informacji znalazły się:

  • numery telefonów,
  • imię i nazwisko,
  • model urządzenia,
  • nazwa sieci komórkowej,
  • numery, do których wysłano SMS,
  • rozdzielczość ekranu,
  • włączone języki,
  • wersja Androida,
  • numer IMSI,
  • numer IMEI,
  • wiadomości e-mail,
  • kraj zamieszkania,
  • linki i informacje związane z profilami społecznościowymi, a także zdjęcia z Google+, Facebooka,
  • szczegóły o lokalizacji,
tmp 615d1bb992daf5adf00ff4e28d2169b0
Zrzut bazy danych.

Wśród tych danych znalazły się także książki z telefonów o łącznej ilości rekordów 6 435 813, identyfikujące innych użytkowników, a więc:

  • wpisane nazwy / nazwiska
  • ich numery telefonów
tmp bc3fa8a94a2c233c605a7e6e0c125fa8
Tabele bazy.

Oprócz powyższych baza danych zawierała ponad 373 milionów rekordów innych informacji, które zostały pobrane z telefonów użytkowników, w tym wszystkie kontakty do osób trzecich, które były zapisane na urządzeniu lub zsynchronizowane z kontem Google.

Jeżeli korzystałeś/aś do tej pory z wirtualnej klawiatury Ai.type natychmiast odinstaluj to szpiegowskie oprogramowanie.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]